【托管云】云上AD域控回迁本地操作经验文档
  

新手213715 151106人觉得有帮助

{{ttag.title}}
一、文档概述
客户把本地域控AD迁移上云,现需要进行回迁,租户SCMT回迁至本地异常,客户本地物理机挂在了恢复PE介质, 但是填完网卡等参数后点击重新连接又会弹回网卡信息界面。已确认无AC设备等拦截(已针对IP加白)
目前无法使用SCMT平台回迁到本地的物理机,需要方案做回迁;
备选方案1PE引导进去打包磁盘镜像到本地物理机恢复,可能需要解决驱动问题
备选方案2:直接回迁域控相关的数据到本地的新服务器上(需要详细方案)
本篇文档主要介绍备选方案2的相关内容,关于云上AD域控回迁本地物理环境的详细迁移方案。
二、操作步骤
方案:
通过对ad域备份来实现单个域控制器的迁移。
操作步骤
1. 环境确认
2. 备份System State
3. 物理服务器上操作系统,网络配置时间设置,名称配置、IP设置和原域控制器保持一致
4. 操作主机角色迁移,可以迁移到域内或者额外域的服务器。
5. 将数据拷贝到本地物理机,从备份中恢复Active Directory
6. 重启。
1. 环境确认
打开Active Directory站点和服务,查看域中的控制器数量:
若只有一台域控制器,则属于单个域控制器;
若有多个域控制器,则查看系统版本信息,若为win2000以前的版本,则属于单主复制,否则为多主复制。
2. 确认操作主机所在的域控制器
Active Directory用户和计算机-->域名-->Domain Controllers 查看
3. 备份当前主机的System State
备份System State其实我们只需要System State中的Active DirectoryRegistrySysvol就够了,但备份工具中不允许再进行粒度更细致的划分,因此我们选择备份整个System State
Win2003操作:
操作:开始-程序-附件-系统工具-备份-备份文件和设置自选备份内容System State备份位置、备份名称完成
或者打开提示符输入ntbackup
之后选择备份位置并填写备份名称,完成。完成后可将备份文件复制到文件服务器等安全的地方进行保存。
Win2008操作:
安装备份与恢复工具:Windows Server Backup。可以在控制面板-->程序和功能-->打开或者关闭windows功能-->添加功能- Windows Server Backup
使用Windows Server Backup 工具进行备份: 单击开始-->管理工具-->Windows Server Backup, 打开备份与恢复工具;
单击 操作-->一次性备份
然后选择备份位置(可选择文件服务器等安全的地方)-->备份-->完成。
4. 物理机设置
1) 时间设置
时间设置和要迁移的域控制器保持一致。
查看域控制器的时区设置:控制面板-->时钟、语言和区域-->日期和时间
2) IPDNS配置
IP配置和DNS配置保持一致,一定要把DNS指向为对域名提供解析支持的那个DNS服务器,但是暂时不接入网络。
3) 计算机名称
计算机名称保持一致。
5. 操作主机角色转移操作
将域控角色转移到额外域服务器在主域控服务器执行以下命令:
a. 进入命令提示符窗口:输入 ntdsutil
b. 输入 roles
c. connections
d. Connect to server %s  (连接到额外域控制器)  提示绑定成
e. q退出。
可输入?查看使用命令
依次输入以下命令转移主机角色
Transfer domain naming master        
Transfer infrastructure master         
Transfer PDC                        
Transfer RID master                 
Transfer schema master
  以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器,选择YES
完成后按Q退出界面。  
  五个步骤完成以后,进入额外域控服务 检查一下是否全部转移到额外服务器上
   
6. 在现有域上创建额外域控制器或备控
首先我们要在要设为的额外域控制器adserver2上设置dns对域名提供解析支持的那个DNS服务器
adserver2上运行dcpromo,如下图所示。
出现Active Directory的安装向导,下一步-->现有林-->向现有林添加域控制器-->下一步
输入安装的林的名称-->选择设置-->输入用户名和密码-->确定-->下一步
其他域控制器选项-->下一步
选择各种文件的存储位置并确认密码
Active Directory安装完毕,点击完成后adserver2会重新启动,至此,额外域控制器创建结束。
7. 从备份中恢复Active Directory
将数据都拷贝到本地的物理服务器按照上步骤中备份的操作进入 备份或还原向导-->还原文件和设置-->选择要还原的System State文件-->完成
   
三、操作影响范围
四、注意事项
物理服务器上操作系统,网络配置时间设置,名称配置、IP设置和原域控制器保持一致,安装最新的补丁,尤其是一定要把DNS指向为对域名提供解析支持的那个DNS服务器,但是暂时不接入网络,而且新的计算机不需要创建Active Directory
五、FAQQAD域的特点
A:总共有以下几个特点
1) 微软基于AD的域模式,最大的优点是实现了集中式管理。以前在无数客户端要重复多次的设置,只要在域控制器上做一次设置就可以了。减少了管理员的工作量,减少了维护企业网络的开支,降低了总体拥有成本。
2) 回收并管理普通用户对客户机的权限。这样做可以提高工作的效率,是符合公司整体利益的。
3) AD是一个大的安全边界,用户只要在登录时验证了身份,这个域林中所有允许访问资源都可以直接访问,不用再做身份验证,也提高的效率减少了维护成本。
4) 对于用户好处,通过文件夹的重定向可以将所有用户桌面的我的文档重定向到文件服务器上。可以集中备份,不用担心客户端重装和故障造成用户数据丢失;并且不管用户在域中哪台计算机登录都可以找到自己的我的文档,实现文档跟用户走。
Q什么是域、域树、域森林
A活动目录是由组织单元、域(domain)、域树(tree)、森林(forest)构成的层次结构。域作为最基本的管理单元,同时也是最基层的容器,它可以对员工、计算机等基本数据进行存储。在一个活动目录中可以根据需要建立多个域,比方说甲公司的财务科、人事科、销售科就可以各建一个,因为这几个域同属甲公司,所以就可以将这几个域构成一棵域树并交给域树管理,这棵域树就是甲公司。又因为,甲公司、乙公司、丙公司都归属A集团,那么为了让A集团可以更好地管理这三家子公司,就可以将这三家公司的域树集中起来组成域森林(即A集团)。因此A集团可以按子公司(域树)部门员工的方式进行层次分明的管理。活动目录这种层次结构使企业网络具有极强的扩展性,便于组织、管理以及目录定位。
QAD域的分类有哪些?
AAD域分类有单个域控制器,单主复制,多主复制以及多主复制+RODC,不同的分类对应的迁移方案也不一样,本片文档适用于单个域控制器的迁移方案。
QActive Directory操作主机是什么?
A操作主机是由域控制器来扮演的一种角色,操作主机角色共有五种,分别是PDC主机,RID主机,结构主机,域命名主机和架构主机
PDC是主域控制器的缩写,在NT4时代,域控制器被分别PDC(主域控制器)和BDC(备份域控制器),只有PDC才可以修改目录数据库,BDC的数据库是从PDC复制而来的。从Win2000开始,所有的域控制器都可以修改Active Directory了,那为什么Win2003的操作主机中还有PDC主机这个角色呢?原因是这样的,微软为了保护用户的前期投资,允许NT4服务器称为Win2003域中的额外域控制器,但NT4充当域控制器时一定要和域中的PDC联系,这种情况下PDC主机就要挺身而出,以主域控制器的身份和NT4的域控制器通讯。这就是PDC主机的第一个用途,兼容NT4服务器。PDC主机的第二个用途是可以优先成为主浏览器,这里说的浏览器是网络中的一种计算机角色。我们都知道打开网上邻居后可以看到当前网络中有多少台计算机,双击计算机名还可以看到这台计算机提供的共享资源。这些网络资源列表是由微软网络中被一种称为主浏览器的计算机来提供。只要操作系统的版本在Windows workgroup 3.1以上的计算机都有机会成为主浏览器。PDC主机的第三个用途就是Active Directory的优先复制权,正常情况下,Active Directory的复制周期是5分钟,但如果Active Directory中发生了一些紧急事件,例如修改了用户口令。这种情况下源域控制器就会在最短时间内通知PDC主机,由PDC主机来统一管理这些Active Directory的紧急事件。如果一台域控制器发现用户输入的口令和Active Directory中存储的口令不一致,域控制器考虑到有两种可能性,一种可能是用户输入错误,一种可能是用户输入的口令是正确的,但是自己的Active Directory还没有接收到最新的变化。域控制器为了避免自己判断错误,就会向PDC主机发出查询,请PDC主机来验证口令的正确与否PDC主机除了上述的几种用途,还可用于充当域内的权威时间源,同时PDC主机也是组策略的首选存储地点。顺便提一下,PDC主机的作用级别是域级别,也就是说,在一个域中只能有一台域控制器充当PDC主机。
RIDSID的一部分,什么是SID呢?SID是安全标识符(Security Identify)的缩写,当我们在域中创建用户账号或计算机账号时,操作系统会为被创建的账号建立一个对应的SID,也就是说,SID真正对应了用户账号或计算机账号。一个域用户对应的SID格式是这样的,S-1-5-21-D1-D2-D3-RIDSSID的缩写,1SID的版本号,5代表授权机构,21代表子授权,D1-D2-D3是三个数字,代表对象所在的域或计算机,RID是对象在域中或计算机中的相对号码。以大家熟悉的管理员账号为例,管理员的SID就是S-1-5-21-3855104193-3464347045-3256418734-500,其中的RID500RIDSID的组成部分,RID主机的作用就是为Active Directory提供一个可用的RID池(默认500个),而且当池中的RID被消耗到一定程度后再自动补充满。如果RID主机出现故障,显然会对我们创建大量的用户账号造成麻烦。RID主机的作用级别也是域级别。
结构主机的作用是负责对跨域对象的引用进行更新,假如A域的一个用户加入了B域的一个组,B域的结构主机就会负责关注A域的这个用户是否发生了什么变化结构主机的工作可以确保域间对象引用的可操作性。如果是一个单域,基本上用不着结构主机做什么工作。如果在一个多域的林环境,有一点要切记,结构主机不要和GC(全局编录)放在同一台域控制器上,否则结构主机无法正常工作。结构主机的作用级别也是域级别。
域命名主机的作用级别是林级别的!域命名主机主要负责控制域林内域的添加或删除,也就是说如果在域林内添加一个新域,必须由域命名主机判断域名合法,操作才可以继续。如果域命名主机不在线,我们就无法完成域林内新域的创建。除了对域名做出诠释,域命名主机还要负责添加或删除描述外部目录的交叉引用对象。
架构主机的作用级别同样是林级别。架构主机的作用非常重要,如果要修改Active Directory的架构,我们只能从架构主机上进行操作。微软的很多高级服务器产品在部署时都需要修改Active Directory的架构,以最著名的Exchange为例,如果我们在域中部署Exchange时无法在线联系上架构主机,那Exchange的部署就无法继续

1184363fec0204df66.png (1.27 MB, 下载次数: 544)

1184363fec0204df66.png

打赏鼓励作者,期待更多好文!

打赏
42人已打赏

15082161216 发表于 2023-3-2 13:09
  
感谢分享,有助于工作,学习了!!!
এ塔铃独语别黄昏এ 发表于 2023-3-2 13:10
  
感谢分享,有助于工作,学习了!!!
贺智文 发表于 2023-3-2 14:11
  
感谢分享,有助于工作,学习了!!!
新手1018 发表于 2023-3-2 14:18
  
感谢分享,有助于工作,学习了!!!
新手511527 发表于 2023-3-2 14:31
  
感谢分享,有助于工作,学习了!!!
原鹏程 发表于 2023-3-2 14:45
  
感谢楼主分享,努力学习中!!!
新手031815 发表于 2023-3-2 20:25
  
楼主的文章图文并茂,清晰易懂
JM 发表于 2023-3-2 20:48
  
打卡学习,感谢大佬分享!
新手517842 发表于 2023-3-2 20:53
  
打卡学习,感谢大佬分享!
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人